我想把这个头添加到我的nginx服务器中
add_header X-Frame-Options "SAMEORIGIN";
然而,我希望人们仍然能够使用引用我的网站的<iframe>
。
就像youtube为视频提供了一个嵌入的url一样,我对我网站的特定部分也这样做。
"SAMEORIGIN"
是正确的值吗?还是X-Frame-Options
标头与我尝试实现的功能冲突?
X-Frame-Options
有三种可能的指令:
X-Frame-Options: deny
页面无法在框架中显示X-Frame-Options: sameorigin
页面只能显示在与页面本身相同原点(相同域(的框架中X-Frame-Options: allow-from https://example.com/
页面只能显示在指定原点的框架中
当主机(人员(尝试在<iframe>
中加载您的网站时,如果将其设置为sameorigin
,则浏览器会给您一个错误。试试这个并打开你的开发控制台:
<iframe src="https://www.google.com"/>
简而言之,如果你想让其他人(域(将你的网站加载到<iframe>
中,那么sameorigin
当然是错误的选择。如果你想得到你想要的东西,请尝试阅读以下内容:
克服";由X-Frame-Options禁止的显示";